Torna alle interviste

    Marco Bozzetti

    Milano, 01/10/99
    Sicurezza in Rete
  • Il SicurForum ha l'obiettivo di promuovere e divulgare la cultura della sicurezza globale ICT, dell'Information and Communication Technology (1) .
  • L'intervistato spiega come vengono ottenuti i dati di questo osservatorio (2) .
  • Per crimine ICT si intende il fenomeno criminale commesso per mezzo o ai danni dei sistemi ICT (3) .
  • Bozzetti elenca alcuni tipi di crimine informatico (4) .
  • Il crimine più diffuso è il furto di PC e l'attacco di virus alle macchine (5) .
  • Spesso i problemi della sicurezza sono legati a problemi di tipo organizzativo. La sicurezza è costosa ma bisogna capire può essere un investimento e non solo un costo (6) .
  • L'intervistato elenca le difficoltà connesse alla attività organizzativa (7) .
  • Gli ostacoli normativi sono connessi all'impossibilità di stare dietro al continuo cambiamento delle tecnologie (8) .
  • Internet sta mettendo in crisi la legge sul copyright e sulla privacy (9) .
  • Uno dei grossi problemi legati al commercio elettronico è quello di tassare le transazioni, che possono essere sia di beni fisici che di "bit" (10) .



    • INTERVISTA:

    Domanda 1
    Cos'è il SicurForum, come opera e quali sono i suoi obiettivi?

    Risposta
    SicurForum è un'iniziativa permanente nell'ambito del forum delle tecnologie dell'informazione e ha come obiettivo quello di promuovere e diffondere la cultura, la sensibilizzazione e tutto il background tecnologico che è in forte evoluzione, riguardo alla sicurezza dei sistemi informativi e delle telecomunicazioni. Con l'acronimo ICT, Information and Communication Technology, indichiamo questo insieme; non solo quindi informatica ma anche telecomunicazioni, la convergenza di entrambi. Questa promozione avviene attraverso vari canali, dall'effettuazione di convegni, seminari, gruppi di lavoro e approfondimento, alle proposte di leggi o di decreti verso l'autorità governativa. SicurForum si propone di essere un punto di riferimento e di coagulo per le informazioni relative alla sicurezza e all'avvento di crimini ICT collaborando anche con altri enti e istituzioni che, magari in termini più settoriali rispetto a quello che fa Sicurforum, operano in questi settori. Proprio in questa ottica abbiamo promosso l'osservatorio permanente sulla criminalità ICT in Italia che opera su due livelli diversi: da un lato, con una analisi diretta da parte di FTI SicurForum, con una indagine, in primis presso i propri soci e altri enti importanti, sul fenomeno criminalità ICT e, dall'altro, completandolo con altre analisi sia nazionali che internazionali che altri istituti compiono nel settore.

    Back

    Domanda 2
    Come vengono ottenuti i dati per questo osservatorio?

    Risposta
    Abbiamo predisposto un questionario, per la prima fase relativa all'indagine diretta su un campione di 200 aziende ed enti anche pubblici segmentati proporzionalmente secondo i profili di spesa ICT nel 1998 e secondo i dati Assinforma; è stato inviato un questionario in maniera elettronica e dopo la risposta è stato fatto un "follow up" anche telefonico per i chiarimenti di questo questionario. A fianco di questo intervento, si sono raccolte un insieme di informazioni che fanno altri enti di ricerca, di analisi di mercato e di monitoraggio sistematico e continuo.

    Back

    Domanda 3
    Quali sono le diverse tipologie di crimine informatico?

    Risposta
    Io non sono un legale, sono uomo d'azienda e opero nei sistemi informativi, quindi non voglio entrare in disquisizioni accademiche di definizione. Abbiamo dato una definizione operativa come crimine ICT intendendo il fenomeno criminale commesso per mezzo o ai danni dei sistemi ICT. Lo strumento ICT può servire sia per compiere dei reati tradizionali su Internet ad esempio, oppure invece crimini compiuti con mezzi informatici sui sistemi informativi o sul bene principale dei sistemi informativi, che è l'informazione stessa che essi gestiscono e manipolano. Con questa definizione copriamo uno spettro molto ampio. Ci siamo focalizzati per il rapporto 1999 solo sul fenomeno criminale commesso ai danni dei sistemi ICT. Teniamo conto che questo fenomeno è in larghissima crescita per la diffusione e la pervasività, dei sistemi informativi e del loro utilizzo a qualsiasi livello e noi vediamo solo la punta dell'iceberg. Un aspetto molto importante è che l'adozione della logica di Internet, quindi della logica 'webcentrica' e 'netcentrica' dei sistemi moderni, si basa su degli standard comuni, su dei protocolli standard di comunicazione di cui si ha una conoscenza diffusa. Quindi sono numerosi anche i conoscitori di questi strumenti e di conseguenza i potenziali attaccanti dei sistemi informativi. Il fenomeno Internet, che è un fenomeno globale, ha portato questo problema a livello mondiale. Uno dei dati più importanti che scaturiscono dall'osservatorio '99, definito OCI, Osservatorio Criminalità ICT in Italia, è quello che gli attacchi maggiori sui sistemi informativi soprattutto in prospettiva saranno portati sempre più da persone esterne all'azienda o all'ente che gestisce questi sistemi mentre, fino a poco tempo fa, normalmente l'attacco era dovuto a persone interne o comunque che beneficiavano della complicità di persone interne e che quindi conoscevano l'ambiente sistemistico e applicativo.

    Back

    Domanda 4
    Possiamo vedere più nel dettaglio alcune di queste tipologie di crimine informatico?

    Risposta
    Abbiamo creato, come nel questionario inviato ai 200 enti che abbiamo consultato, una schematizzazione abbastanza semplice delle tipologie di attacco: l'area dei virus, l'area degli accessi non autorizzati, settore ripartito a sua volta in accesso non autorizzato alle risorse e utilizzo non autorizzato dei dati informativi. Infine la terza tipologia è la modifica non autorizzata dei dati, che ovviamente è il danno maggiore. Teniamo conto anche che un crimine sull'informazione è diverso da quello su un bene normale. Quando io rubo un'informazione non me ne accorgo. Se un altro l'ha letta, io rimango "proprietario" di quell'informazione, ce l'ho lì, è anche difficile accorgersi se qualcuno l'ha letta impropriamente. Questo porta ovviamente a tutto un insieme di complicazioni poi nel gestire o addirittura nel verificare che c'è stata una violazione sul bene informativo stesso. Un'altra area importante di tipologia di attacco è quello della saturazione di risorse, 'denial of service' come viene chiamata nella terminologia anglosassone, tipicamente consiste nell' inviare centinaia o migliaia di messaggi in brevissimo tempo su una casella postale che bloccano di fatto l'utilizzo di quella macchina o di quel sistema e viene chiamata dagli hacker lo spamming. Un'ulteriore area è quella del furto dei dispositivi, furto che ormai è sempre più orientato sui personal computer e questo è un fenomeno assai significativo. Infine, Un'ampia area di crimine informatico è quella dell'uso improprio o dell'abuso di risorse, magari di terzi, in cui in pratica non reco dei danni al sistema informativo o alle informazioni in esso contenute, ma utilizzo quelle risorse. E questo è uno dei fenomeni che con Internet si è maggiormente diffuso come tipologia di attacco, soprattutto in ambiti universitari.

    Back

    Domanda 5
    Ci può dare alcuni dati sulla diffusione di alcuni di questi crimini informatici in un confronto tra l'Italia e gli altri paesi?

    Risposta
    Dall'analisi che abbiamo fatto sui 200 enti intervistati che sono stati presi percentualmente e proporzionalmente alla spesa di informatica per segmento industriale, la maggior parte del fenomeno riscontrato negli ultimi tre anni è stato quello dei virus. A questo segue con una ripartizione all'incirca, del 10-12%, il fenomeno dei vari accessi non autorizzati, alla risorsa ICT, alla rete, al dato e la modifica non autorizzata dei dati. L'insieme di queste percentuali porta ad una incidenza ancora maggiore come numero di attacchi subiti, quindi quasi il 50% degli intervistati, rispetto ai virus. Abbiamo poi una fascia al momento meno significativa percentualmente, intorno all'8%, sulla saturazione delle risorse. Tipicamente un fenomeno di spamming o di messaggi stupidi che avvertono che c'è un virus e quindi tutti se lo rimandano intasando la rete. Però, almeno nella situazione italiana, non sono significativi. Molto significativo invece è il furto dei dispositivi. Spesso capita che venga rubato l'hard disc perché magari contiene delle informazioni riservate. Ancora più di frequente però avviene il furto puro e semplice, che io chiamo da ladri di biciclette, del PC o del PC portatile. Questo è uno dei problemi della maggior parte dei responsabili dei sistemi informativi nelle aziende italiane.

    Back

    Domanda 6
    E quali sono le diverse possibilità di intervento?

    Risposta
    Le possibilità di intervento sono molte. Solitamente ci si muove su due linee: si individua l'area di prevenzione e poi l'area di identificazione. Accorgersi che qualcuno ha tentato un attacco, vedere di scoprire che è e cosa vuole e poi applicare le opportune misure. Quando parliamo di misure di sicurezza ovviamente interveniamo con tutta una serie di tecniche che sono sia di tipo fisico che di tipo logico o tecnologico. Il problema è che l'incidenza dell'aspetto tecnologico è, a mio giudizio, un 20% rispetto all'80% del problema organizzativo. Io posso utilizzare e mettere in atto la più sofisticata e moderna tecnica di sicurezza, ma se poi non viene gestita bene è ovvio che non ha nessuna efficacia. Se, ad esempio, faccio cambiare ogni settimana la password di accesso in modo che sia difficile accedere alle risorse, può accadere che tutti gli utenti si stanchino del continuo cambiamento e applichino un post-it sul video con la password. Questo è un problema. Un' altro si presenta quando un utente va a prendere un caffè e lascia lo screensaver senza password permettendo a qualcuno di entrare e modificare tranquillamente i suoi programmi. Il problema è proprio creare una cultura e una sensibilità dell'utente che deve pensare che sempre più l'utilizzo delle risorse informatiche, delle risorse ICT, è un fenomeno che può essere attaccato, è sensibile in termini di sicurezza e quindi va usato 'cum grano salis'. Noi abbiamo poca cultura in Italia sul fenomeno della sicurezza, spendiamo poco perché è un aspetto che costa e serve per prevenire cose che forse non accadranno, quindi è difficile da giustificare nell'ambito di un consiglio di amministrazione. Ha forti conseguenze organizzative e spesso e volentieri crea una ridistribuzione del potere tra chi gestisce, ad esempio, le password, o chi è che gestisce i certificati delle firme elettroniche. Dobbiamo pensare che finora i meccanismi dei sistemi di sicurezza sono stati visti come un costo. Per cercare di farli diventare un investimento occorre dare una valenza di business alla sicurezza. Come nelle transazioni di electronic business. Questa, a mio giudizio, è la chiave di volta per portare a un livello maggiore i sistemi di sicurezza, che in questo momento sono in generale piuttosto deboli.

    Back

    Domanda 7
    Come si differenzia l'attività investigativa in campo informatico da quella in campo tradizionale?

    Risposta
    L'attività investigativa si svolge a due livelli: a livello dell'ente che ha subito o ritiene di aver subito l'attacco, e quindi anche il danno, e spesso se il danno non è evidente o se non è immediatamente evidenziato, come ad esempio il furto di un apparato, spesso è anche difficile identificare che è avvenuto, e questo è il primo grosso problema. Quindi occorre tutta un'opera di monitoraggio sistematica e continua per verificare che non ci siano tentativi di attacco, non solo che sia avvenuto l'attacco e che abbia avuto successo, ma addirittura che non ci sia stato il tentativo. Il secondo grosso problema, in termini investigativi, è che spesso e volentieri operiamo a livello globale, mondiale, laddove invece le regole, le normative, differiscono pesantemente nazione per nazione. Per esempio, in certe nazioni, non è consentita la crittografia dei messaggi, in altre sì, eccetera, quindi troviamo anche una difficoltà a omogeneizzare e standardizzare un certo tipo di tecnologie e quindi le modalità per utilizzarle. Tenga conto che, ad esempio, il fatto che io debba cercare di identificare chi ha fatto in un ambito di Internet salterellando su 200 o 300 sistemi diversi in giro per il mondo, e dovrei ricostruire dei log, si immagini la difficoltà per un magistrato a chiamare o a chiedere, il ricevimento di log da un numero alto di enti diversi che risiedono in stati diversi e spesso non sono facilmente identificabili. Questo le dà già solo la difficoltà operativa solo per avere le informazioni che le consentirebbero di iniziare una elaborazione per poter probabilmente identificare chi ha fatto una certa operazione. Quindi la complessità proprio tecnica, operativa per identificare in un possibile mondo di attaccanti, quasi infinito, è estremamente difficile. Le tecniche ci sono, ma l'applicarle è complesso, costoso, e spesso e volentieri in certi casi ci si trova il problema di non poter avere certe informazioni perché per motivi normativi tra una nazione e l'altra questo non è possibile. Un altro livello di complessità è l'evoluzione tecnologica. Teniamo conto che l'anno di Internet equivale a tre mesi. Normalmente una tecnologia, noi abbiamo uno spostamento tecnologico ogni 18-24 mesi, quindi essere sempre sul filo dell'onda di quali sono i possibili nuovi strumenti di attacco e quindi poi i possibili nuovi mezzi di difesa, è una cosa rapidissima che evolve con una dinamicità terribile e quindi è estremamente difficile seguirla. Tutti i nuovi, normalmente i nuovi tipici attacchi, sono attacchi fatti con le nuove tecniche, ad esempio con gli applet, con gli agenti, eccetera. E questi sono tutti .. in certi casi, non ci sono ancora precisi mezzi di sicurezza. Uno dei mezzi base di sicurezza è quello di criptare l'informazione in maniera forte e questo però ogni tanto ci sono problemi di disponibilità dei mezzi perché in taluni casi è vietata l'esportazione di alcuni di questi mezzi considerati strategici.

    Back

    Domanda 8
    E esistono delle difficoltà normative nell'accertamento dei crimini informatici in Italia?

    Risposta
    La difficoltà normativa è dovuta al fatto che l'evoluzione tecnologica e quindi la nascita di nuove tecnologie, quindi di nuove possibilità di attacco, ma anche nuove possibilità di difesa, è sicuramente molto più veloce della capacità del legislatore di seguire l'evoluzione tecnologica. Teniamo conto che noi abbiamo quasi dei 'parading shift', cioè dei salti tecnologici, ogni 18-24 mesi, no?, perché l'anno di Internet equivale ai tre mesi delle persone normali e comuni. La legislazione italiana è abbastanza all'avanguardia nel campo della definizione del crimine informatico. Già nel '93 abbiamo avuto la prima legge abbastanza chiara e onnicomprensiva che introduceva il concetto di crimine e di criminalità informatica e che però ha tenuto conto di uno spettro piuttosto ampio, ma di uno spettro di possibili attacchi, dall'accesso abusivo al danneggiamento informatico, al falso informatico, la frode informatica e così via. Ci sono poi altre leggi che hanno seguito, ricordo in primis quella sul documento elettronico e la firma digitale, quindi documenti della legge Bassanini, la Bassanini bis, così come quella sulla privacy, la legge 675, che ovviamente hanno posto tutto un insieme di raccomandazioni e di riferimenti tecnologici, quali tecnologie utilizzare per firma elettronica, per proteggere la privacy, eccetera. Di sicuro, l'approccio che però in un mondo così evolutivo dovremmo seguire non è sicuramente quello di una legislazione e di una normativa puntuale che cerca di identificare, seguendo quindi gli aspetti tecnologici punto per punto perché non ce la farà mai, quindi è un approccio diverso che dovrà essere seguito e quindi con un discorso più di visione più generale, tenendo conto che l'informazione, questo è il punto base, è un bene, è un bene per il singolo, è un bene per la società, è un bene per l'azienda, e come tale va protetto, amministrato, curato.

    Back

    Domanda 9
    Perché si dice che la diffusione di Internet stia mettendo in crisi le leggi sul copyright?

    Risposta
    Sta mettendo in crisi le leggi sul copyright e in parte può anche mettere in crisi quelle sulla privacy. Sono due temi di grande attenzione negli Stati Uniti. Questo pone tutto un insieme di grossi problemi sul copyright perché ci sono normative diverse paese per paese, mentre la globalizzazione di Internet mi permette di andare ad accedere da qualsiasi parte, spesso e volentieri non so neanche dove vado fisicamente ad accedere, spesso e volentieri un'informazione logica è dispersa su più siti diversi, quindi questo pone un grossissimo problema. Dall'altro lato, per quanto riguarda il discorso della privacy, è un altro grosso problema la diffusione della posta elettronica, il fatto che a livello mondiale qualcuno possa andare a catturare informazioni che transitano, che io faccio viaggiare nella rete, no?, in Internet, o addirittura va più banalmente ad accedere alle mie caselle postali o alle caselle postali degli interlocutori cui ho destinato la mia posta, porta o può portare grossi problemi di diffusione di informazioni personali. E attenzione: quello che era la pubblicità dell'informazione che anni fa in ambiti cartacei aveva dei limiti naturali e fisici, adesso io posso anche andare a cercare su milioni di messaggi cui io ho, ad esempio, impropriamente accesso, andare a trovare quelli che si riferiscono a delle persone che mi interessano e lo fa automaticamente la macchina. Quindi la mia potenzialità di attacco, di ricercare informazioni, che in un ambito cartaceo sarebbero inimmaginabili, mi permette di più facilmente e più efficacemente di violare i diritti di privacy di altri individui.

    Back

    Domanda 10
    Potrebbe spiegare più nel dettaglio la questione della tassazione del bit?

    Risposta
    Uno dei grossi problemi legati al commercio elettronico è quello della difficoltà di tassare transazioni di questo genere. Anche, ad esempio, il problema della tassa sull'IVA, su un bene che "transeo" in termini elettronici ma che spesso poi ha un aspetto logistico, quindi è un bene che fisicamente da un certo magazzino arriverà a casa mia. In altri casi la transazione è puramente e totalmente elettronica perché, ad esempio, compero un pezzo di software e compero e vendo stringhe di bit, questo può anche essere per un'immagine, per qualsiasi cosa. Come tasso una cosa di questo genere? Chi la tassa? Come omogeneizzo a livello globale e mondiale una cosa di questo genere? Questo è uno dei grossi problemi che avremo. Sicuramente il problema del ritardo forte che in questo momento ha l'Italia nella diffusione soprattutto a livello domestico degli strumenti informatici e di comunicazione, quindi l'utilizzo di Internet, il PC nelle case, eccetera, metà circa della media europea e la media europea è metà di quella americana, una tassazione sul bit porterebbe a un ulteriore blocco della diffusione che, seppur con ritardo, sta avvenendo nel paese. torna a inizio pagina